کتاب امنیت اطلاعات برای مدیران غیر فنی نوشته‌ی ادواردو گلبشتاین، با ساختاری غیرتخصصی مختص افرادی است که به دنبال فهم امنیت اطلاعات هستند.

امروزه با توجه به رشد روزافزون فضای کسب و کار و نیز تنوع فرآیندهای تجاری، استفاده از تکنولوژی‌هایی نظیر فناوری اطلاعات و ارتباطات در سازمان‌ها و شرکت‌های مختلف به امری ضروری تبدیل شده است. با توجه به اینکه همه‌ی مدیران، لزوماً متخصص رشته‌ی فناوری اطلاعات و ارتباطات (ICT) یا رشته‌های فنی وابسته نیستند، مناسب است حداقل افرادی که در این حوزه مدیریت و فعالیت می‌کنند، اطلاعاتی کلی در این خصوص کسب نمایند.

در این اثر آنچه برای حفاظت از دارایی‌های اطلاعاتی لازم است و اینکه نقش آن‌ها چه باید باشد در نظر گرفته شده. فصول کتاب امنیت اطلاعات برای مدیران غیر فنی (Information security for non technical managers)، به طور مختصر به دنبال این هستند که چرا مشکل امنیت اطلاعات تا به حال حل نشده و اینکه چه چیزهایی در استفاده از سیستم‌های کامپیوتری و شبکه‌ها در دنیا دخیل هستند؛ دنیای متصلی که در آن بیش از 2 میلیارد انسان به اینترنت دسترسی دارند و بیش از 4 میلیارد آن‌ها دارای گوشی‌های همراه هستند. بسیاری از آن‌ها دانش کافی از نحوه‌ی کار این دستگاه‌ها و اینکه چطور می‌توانند سبب اختلال شوند را ندارند.

بسیاری از مراکز و مؤسسات دولتی و خصوصی، بانک‌ها، شرکت‌ها، ادارات، مراکز آموزشی و پژوهشی و غیره در انجام وظایف و ماموریت‌های خود از این فناوری بهره می‌برند. در هر فرآیند و خدمتی، آن چیزی که مبنا و پایه می‌باشد، داده و اطلاعات است. سازمان‌ها به وسیله‌ی داده‌ها، اطلاعات، پردازش و فرآوری آن، به تولید کالا یا ارائه خدمات دست پیدا می‌کنند. پس اطلاعات همواره، نقش کلیدی را چه در سازمان‌های دولتی و چه در سازمان‌های خصوصی دارا بوده و حفظ و صیانت مطلوب از آن از وظایف اصلی تمام افراد وابسته به این سازمان‌ها است. ادواردو گلبشتاین (Eduardo Gelbstein) در نوشتن این کتاب، با زبانی ساده از قوانین، مقررات و استانداردهای بین‌المللی جاری، در جهت بیان کلیات موضوع امنیت اطلاعات و دستورالعمل‌های آن بهره برده است.

در بخشی از کتاب امنیت اطلاعات برای مدیران غیر فنی می‌خوانیم:

امنیت اطلاعات یک حرفه کنترل شده نیست و از این رو نیازی به صدور گواهینامه ندارد. جایی که امنیت اطلاعات ضروری است ممکن است نیاز به چنین گواهینامه‌هایی تصویب شود. این گواهینامه‌ها به سه دسته تقسیم می‌شوند: سازمانی، حرفه‌ای و شخصی.

گواهینامه‌های سازمانی شامل مواردی نظیر رعایت ایزو 27001 "سیستم مدیریت امنیت اطلاعات" و قانون مدیریت امنیت اطلاعات فدرال ایالات متحده (FISMA) می‌باشد. برخی از گواهی‌ها اختیاری (ISO 27001) هستند در حالی که برخی از آن‌ها ممکن است برای رشته‌های خاص نظیر استاندارد امنیت داده‌های صنعت کارت پرداخت (PCI-DSS) الزامی باشند.

دریافت گواهینامه‌های حرفه‌ای برای افراد اختیاری است اما ممکن است کارفرمایان آن‌ها را ضروری کنند. گواهینامه‌های زیادی وجود دارد نظیر گواهی‌های ارائه شده توسط انجمن حسابرسی و کنترل سیستم‌های اطلاعاتی (ISACA) گواهی حسابرسی امنیت اطلاعات، CISM: گواهی مدیر امنیت اطلاعات و CRISC: گواهی ریسک و کنترل سیستم اطلاعات.

همچنین گواهینامه‌های ارائه شده از سوی کنسرسیوم صدور گواهینامه سیستم‌های امنیت اطلاعات بین المللی (ISC2) شامل موارد زیر می‌باشد: CISSP: گواهی امنیت حرفه‌ای سیستم‌های اطلاعاتی و CSSLP: گواهی حرفه‌ای چرخه حیات امن نرم افزاری. علاوه بر این فروشندگان و شرکت‌های آموزشی نیز انواع مختلف گواهینامه‌ها را ارائه می‌دهند.

فهرست مطالب
مقدمه مترجم
درباره نویسنده
مقدمه
هدف از این کتاب
1- امنیت اطلاعات در زمینه
1-1 تاریخچه مختصری از تکنولوژی‌های اطلاعاتی و اثرات جانبی آن‌ها
2-1 چرا امنیت اطلاعات بسیار مهم است
3-1 فراگیری و وابستگی‌های غیر قابل بازگشت
2- تجاربی که در ده سال گذشته بدست آمدند؛
1-2 معانی امنیت اطلاعات
2-2 حوزه‌های اصلی مورد هدف در ناامنی اطلاعات
1-2-2 جرائم سایبری
2-2-2 حفاظت از زیرساخت‌های حیاتی
3-2-2 امنیت و دفاع ملی
3-2 نیازمندی‌های لازم برای افزایش امنیت شناسایی شده‌اند اما به خوبی پیاده سازی نمی‌شوند
4-2 گواهینامه‌ها
5-2 عدم تقارن و عواقب آن
6-2 حفظ امنیت وظیفه تمام افراد است
1-6-2 آگاهی از ارتباط امنیت اطلاعات با سازمان خاص
2-6-2 خطای انسانی
3-6-2 مهندسی اجتماعی
3- تعریف امنیت اطلاعات
1-3 منظور از "امنیت اطلاعات" چیست
2-3 تفاوت‌های بین امنیت سازمانی، امنیت اطلاعات و امنیت فناوری اطلاعات
1-2-3 امنیت سازمانی و فیزیکی
2-2-3 امنیت اطلاعات
3-2-3 امنیت فناوری اطلاعات
4- مدیریت امنیت اطلاعات در سازمان
1-4 حاکمیت امنیت اطلاعات
2-4 مؤلفه‌های حاکمیت امنیت اطلاعات
1-2-4 استراتژی امنیتی سازمان
2-2-4 سیاست‌های امنیتی سازمان
3-2-4 مسئولیت پذیری امنیت اطلاعات در سراسر سازمان
4-2-4 تخصیص منابع انسانی و مالی
3-4 مدیریت امنیت
1-3-4 آیا کارهای درست را انجام می‌دهید؟
2-3-4 آیا کارهای درست را به روشی درست انجام می‌دهید؟
3-3-4 آیا شما کارهای درست را به شیوه درست به اندازه کافی خوب انجام می‌دهید؟
4-3-4 استانداردها، دستورالعمل‌ها و روش‌های خوب
4-4 چه چیزی باعث می‌شود یک مدیر خوب امنیت اطلاعات داشته باشیم؟
1-4-4 آیا نقش‌ها عملیاتی هستند یا استراتژیک؟
2-4-4 تمرکز بر تحویل یا مدیریت؟
5-4 نقش شما به عنوان یک مدیر
1-5-4 توسعه آگاهی امنیتی
2-5-4 مدیریت تهدیدات داخلی
3-5-4 حامی بهداشت و سلامت دیجیتال باشید
5- چهار حوزه آسیب پذیری
1-5 آسیب پذیری‌های حاکمیت
2-5 آسیب پذیری‌های افراد
1-2-5 فقدان دانش، آگاهی و آموزش
2-2-5 اقدامات غیر مترقبه و غیرقابل پیش بینی
3-2-5 اقدامات آگاهانه
4-2-5 عدم تعهد
3-5 آسیب‌پذیری‌های فرآیند
1-3-5 فرآیندهایی متعلق به ارائه دهندگان خدمات
2-3-5 فرآیندهای متعلق به طراحان سیستم و مجریان
3-3-5 فرآیندهای متعلق به سیستم و صاحبان داده
4-3-5 فرآیندهای متعلق به کاربران نهایی
4-5 آسیب پذیری‌های فناوری
1-4-5 کمبود امنیت به سبب طراحی- درس‌هایی که باید از صنعت امن گرفت
6- دیگر محرک‌های ناامنی اطلاعات
1-6 دلایل نگرانی
1-1-6 نگرانی‌های داخلی سازمان
2-1-6 هزینه‌های تأمین امنیت اطلاعات
3-1-6 تکامل کاربر نهایی
2-6 فاکتورهای خارجی: تغییر مداوم چشم انداز
1-2-6 تکنولوژی به تکامل ادامه خواهد داد
2-2-6 افزایش چالش‌های مربوط به هویت و حریم خصوصی
3-2-6 بدافزار Weapons grade
4-2-6 گواهینامه‌های امنیتی با توجه به اهمیتشان افزایش خواهند یافت
3-6 امنیت اطلاعات نباید مانع تفکر نوآورانه شود
7- سنجش امنیت
1-7 سنجش امنیت اطلاعات
1-1-7 چه چیزی معیارهای امنیتی را معنی دار می‌کند
2-1-7 چه چیزی معیارها را معنی دار می‌کند؟
3-1-7 مثالی از شاخص‌های امنیتی مرتبط
2-7 اطلاعات گزارش معیارهای امنیت
8- سایر موضوعات امنیت اطلاعات
1-8 تجزیه و تحلیل کسب و کار (BIA)
2-8 مدیریت ریسک اطلاعات
1-2-8 ریسک و عدم قطعیت
2-2-8 مدیریت ریسک: هدف و فعالیت‌های اصلی
3-2-8 نتایج مدیریت ریسک
3-8 برنامه‌ریزی برای بقا
4-8 چشم‌انداز قانونی
9- نتیجه‌گیری
منابع
ضمیمه: سپاسگذاری‌ها
یادداشت‌های پایانی